Hallo!
ich habe folgendes Szenario:
- AP1 hat 2 verschiedene SSID's. Eine SSID (Internet) hat einen bekannten WPA Key, die andere (Intern) einen nicht bekannten. In der Stationstabelle stehen einige vertrauenswürdige Clients sowie deren persönlichen WPA Key, mit dem diese auf beide SSIDs zugreifen können. Auf diesem AP habe ich den Radius Server aktiviert.
- AP2 hat dieselben SSIDs. Eigentlich soll genau das selbe wie bei AP1 möglich sein: Clients welche den "öffentlichen" WPA Key kennen können sich auf die "Internet" SSID verbinden, die vertrauenswürdigen nach "Intern". Auf diesem AP hab ich unter Stationen die untere Option gewählt sowie den Radius Server des AP1 angegeben.
Wenn ich mich nun auf den AP2 verbinde würde ich erwarten dass dieser eine Radius Anfrage an den AP1 stellt welcher wiederum in der Stationstabelle nachschaut ob der Client berechtigt ist. Tut er aber nicht; ein Trace von "Radius-Client" und "Radius-Server" auf beiden APs zeigt schlichweg nichts.
Was mache ich falsch??
danke!
martin
Probleme LEPS mit Radius
Moderator: Lancom-Systems Moderatoren
Nun sehe ich die Radius Traces (welche abgelehnt werden?)!Moin,
Des weiteren ist es sinnvoll, auf beiden Geräten den Schalter 'Setup->WLAN->RADIUS-Access-Check/Password-Source' auf 'MAC-Address' zu setzen, das verhindert Probleme, wenn man ein drittes Gerät als RADIUS-Client mit einem anderen shared secret dazuhängt.
Wo die beiden Schalter im LANconfig sind (wenn überhaupt), weiß ich (mal wieder) nicht...
Gruß Alfred
Das kann man sich im Prinzip aussuchen. Entweder man pflegt's auf einem AP in der RADIUS-Benutzertabelle, dann muß auch dieser AP quasi mit sich selber RADIUS über die 127.0.0.1 reden, oder man schreibt sie auf einem AP in die WLAN-Stationsliste, auf diesem muß man dann zusätzlich den Schalter 'Setup->WLAN->RADIUS-Access-Check->Provide-Server-Database' setzen, damit der RADIUS-Server auf diesem Gerät die WLAN-Stationsliste als zusätzliche Datenbasis nutzen darf.Die Clients werden aber weiterhin in der "Stations" Tabelle auf dem AP1 gepflegt, oder?
Des weiteren ist es sinnvoll, auf beiden Geräten den Schalter 'Setup->WLAN->RADIUS-Access-Check/Password-Source' auf 'MAC-Address' zu setzen, das verhindert Probleme, wenn man ein drittes Gerät als RADIUS-Client mit einem anderen shared secret dazuhängt.
Wo die beiden Schalter im LANconfig sind (wenn überhaupt), weiß ich (mal wieder) nicht...
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Moin,
Gruß Alfred
Wenn im RADIUS-Trace auf der Server-Seite als Paßwort nur kryptischer Müll steht, dann stimmt das shared secret auf beiden Seiten nicht überein. Wenn das sinnvoll ist, dann fehlt entweder der Haken zum zur Verfügung-Stellen der MAC-Liste per RADIUS oder die PAssword-Source auf beiden Seiten stimmt nicht überein.Ich hatte am Freitag das Problem dass der Radius Server auf die Anfragen (soweit hats geklappt) immer mit einem "reject" geantwortet hat sodass ich mich nie verbinden konnte...
martin
Gruß Alfred
Hallo Alfred
Irgendwie klappts leider noch nicht. Der Radius Server scheint den Request abzulehnen obwohl der Schalter "Provide Server-Database" gesetzt ist.
Hier die Traces:
Client:
[RADIUS-Client] 2012/10/04 08:17:46,591
Send RADIUS Authentication Request Id 93 to 192.168.98.1 Backup-Step 1 Retry 0 Auth < content replaced >
[RADIUS-Client] 2012/10/04 08:17:46,595
Received RADIUS Reject Id 93 from 192.168.98.1
-->found corr. request 93 to IP 192.168.98.1:1812, secret < content replaced >, authenticator < content replaced >
-->trigger requester
Server:
[RADIUS-Server] 2012/10/04 08:17:46,094
Received RADIUS authentication request 93 from client 192.168.98.2:3072[INTRANET]:
-->known attributes of request:
User-Name : 844bf5-641902
User-Password : -entfernt-
Service-Type : Framed
NAS-Identifier : AP03-02
NAS-IP-Address : 192.168.98.2
NAS-Port : 1
NAS-Port-Id : 1
NAS-Port-Type : Wireless - IEEE 802.11
Called-Station-Id : 00-A0-57-1A-80-37:CFC-Intern
Calling-Station-Id : 84-4B-F5-64-19-02
Connect-Info : CONNECT 144 Mbps 802.11g/n
-->user name contains no realm, using empty realm
-->realm of user is ''
-->authenticating locally
-->did not find user '844bf5-641902' in database(s)
-->response type is Reject, response attributes:
-->sending response
Aber auf Server:
root@AP03-01:/Setup/WLAN/Access-List
> ls
MAC-Address Name WPA-Passphrase Tx-Limit Rx-Limit VLAN-Id Comment
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
844bf5641902 Test NB asdfasdf 0 0 0
Was geht hier schief???
Danke & gruss
martin
Edit: Paßwörter entfernt
Gruß
Backlsash
Irgendwie klappts leider noch nicht. Der Radius Server scheint den Request abzulehnen obwohl der Schalter "Provide Server-Database" gesetzt ist.
Hier die Traces:
Client:
[RADIUS-Client] 2012/10/04 08:17:46,591
Send RADIUS Authentication Request Id 93 to 192.168.98.1 Backup-Step 1 Retry 0 Auth < content replaced >
[RADIUS-Client] 2012/10/04 08:17:46,595
Received RADIUS Reject Id 93 from 192.168.98.1
-->found corr. request 93 to IP 192.168.98.1:1812, secret < content replaced >, authenticator < content replaced >
-->trigger requester
Server:
[RADIUS-Server] 2012/10/04 08:17:46,094
Received RADIUS authentication request 93 from client 192.168.98.2:3072[INTRANET]:
-->known attributes of request:
User-Name : 844bf5-641902
User-Password : -entfernt-
Service-Type : Framed
NAS-Identifier : AP03-02
NAS-IP-Address : 192.168.98.2
NAS-Port : 1
NAS-Port-Id : 1
NAS-Port-Type : Wireless - IEEE 802.11
Called-Station-Id : 00-A0-57-1A-80-37:CFC-Intern
Calling-Station-Id : 84-4B-F5-64-19-02
Connect-Info : CONNECT 144 Mbps 802.11g/n
-->user name contains no realm, using empty realm
-->realm of user is ''
-->authenticating locally
-->did not find user '844bf5-641902' in database(s)
-->response type is Reject, response attributes:
-->sending response
Aber auf Server:
root@AP03-01:/Setup/WLAN/Access-List
> ls
MAC-Address Name WPA-Passphrase Tx-Limit Rx-Limit VLAN-Id Comment
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
844bf5641902 Test NB asdfasdf 0 0 0
Was geht hier schief???
Danke & gruss
martin
Edit: Paßwörter entfernt
Gruß
Backlsash
Moin,
so direkt sehe ich keinen Fehler...ich hab's hier gerade nochmal aufgebaut und das geht. Bitte nochmal genau per CLI auflisten lassen, was auf dem "Server-AP" folgende Punkte machen:
Muß auch auf dem Server-AP auf 'positive' stehen
Davon würde ich gerne mal das kopmplette Untermenü sehen.
Gruß Alfred
so direkt sehe ich keinen Fehler...ich hab's hier gerade nochmal aufgebaut und das geht. Bitte nochmal genau per CLI auflisten lassen, was auf dem "Server-AP" folgende Punkte machen:
Code: Alles auswählen
dir /se/wlan/access-mode
Code: Alles auswählen
dir /se/wlan/radius-access-check
Gruß Alfred